[发明专利]查杀恶意程序的方法和装置

权利要求书

1.一种查杀恶意程序的方法，包括：

在计算机与终端之间建立连接后，提示用户开启所述终端的USB调试模式；

在所述用户开启了所述终端的USB调试模式后，完成所述计算机与所述终端的通信工作的初始化，继而在所述计算机与所述终端之间建立通信连接；

在计算机侧获取终端操作系统中存储于BOOT分区中的系统文件压缩包；

解压所述系统文件压缩包，扫描解压缩后的系统文件中是否包括预设的恶意程序特征；

当所述解压缩后的系统文件中包含预设的恶意程序特征时，删除所述解压缩后的文件中具有恶意程序特征的文件；

将删除了所述具有恶意程序特征的文件后的系统文件进行压缩，得到新系统文件压缩包；

使用所述新系统文件压缩包覆盖所述终端的BOOT分区。

2.根据权利要求1所述的方法，其中，所述解压所述系统文件压缩包，包括：

获取终端的机型信息；

根据所述机型信息获取所述终端的系统文件压缩包的压缩格式；

根据所述压缩格式解压所述系统文件压缩包。

3.根据权利要求2所述的方法，其中，所述扫描解压缩后的系统文件中是否包括预设的恶意程序特征，包括：

提取所述解压缩后的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件。

4.根据权利要求2所述的方法，其中，所述扫描解压缩后的系统文件中是否包括预设的恶意程序特征，包括：

提取所述解压缩后的每一个文件的文件特征值，并将所述文件特征值发送给云服务器；

其中，所述文件特征值用于所述云服务器判断所述解压缩后的系统文件中是否包含与预设的特征值相匹配的文件。

5.根据权利要求2所述的方法，其中，所述扫描解压缩后的系统文件中是否包括预设的恶意程序特征，包括：

扫描用于记录所述操作系统的启动项的配置文件，读取所述配置文件记录的每一个自启动程序的文件路径；

提取所述文件路径下的每一个文件的文件特征值，判断是否包含与预设的特征值相匹配的文件。

6.根据权利要求2至5任一项所述的方法，其中，所述将删除了所述具有恶意程序特征的文件后的系统文件进行压缩，得到新系统文件压缩包，包括：

按照所述压缩格式将删除具有恶意程序特征的文件后的系统文件进行压缩，得到新系统文件压缩包。

7.根据权利要求1所述的方法，其中，所述使用所述新系统文件压缩包覆盖所述终端的BOOT分区，包括：

根据所述终端的机型信息获取所述终端的操作系统文件的校验算法；

使用所述校验算法对所述新系统文件压缩包进行计算得到校验值；

在所述终端的BOOT分区依次写入所述校验值和新系统文件压缩包。

8.根据权利要求2至5任一项所述的方法，其中，在所述获取终端操作系统中的存储于BOOT分区中的系统文件压缩包之前，所述方法还包括：

获取所述终端的机型信息；

根据所述机型信息获取所述终端的BOOT分区的位置。

9.根据权利要求2至5任一项所述的方法，其中，在所述获取终端操作系统中存储于BOOT分区中的系统文件压缩包之前，所述方法还包括：

获取所述终端的分区表；

根据所述分区表获取所述终端的BOOT分区的位置。

10.根据权利要求1至5任一项所述的方法，其中，所述扫描解压缩后的系统文件中是否包括预设的恶意程序特征，包括：

检测所述解压缩后的系统文件中是否存在预设行为的文件。

11.根据权利要求10所述的方法，其中，所述预设行为包括：

删除自身文件，但所述文件对应的进程保持运行；

或者，

将自身的代码注入到系统进程。

12.根据权利要求1至5任一项所述的方法，其中，当所述解压缩后的系统文件中包含预设的恶意程序特征时，所述方法还包括：

将由具有预设恶意程序特征的文件生成的可运行文件删除，并在所述可运行文件的相同位置生成与所述可运行文件同名的文件，并置为只可读状态。